重要
注意:根据世纪互联发布的公告,所有 Microsoft Sentinel 功能将在 2026 年 8 月 18 日于中国地区的 Azure 平台正式停用。
若要为部署做准备,你需要确定多工作区体系结构是否适合你的环境。 在本文中,你将了解Microsoft Sentinel如何跨多个工作区和租户进行扩展,以便确定此功能是否符合组织的需求。 本文是 Microsoft Sentinel 部署指南 的一部分。
如果您决定配置环境,以便在多个工作区和租户中扩展,请参阅在多个工作区和租户中扩展 Microsoft Sentinel。
需要使用多个工作区
载入Microsoft Sentinel时,第一步是选择Log Analytics工作区。 虽然你可以通过单个工作区充分体验 Microsoft Sentinel,但在某些情况下,你可能希望扩展工作区,以便跨多个工作区和租户查询和分析数据。
下表列出了其中一些场景,并在可能的情况下,建议如何使用单个工作区来处理这些场景。
| 要求 | 说明 | 减少工作区计数的方法 |
|---|---|---|
| 主权和合规性 | 工作区绑定到特定区域。 若要将数据保存在不同的 Azure 地理位置以满足法规要求,请将数据拆分为单独的工作区。 在Microsoft Sentinel中,数据主要存储在同一地理位置或区域中,但存在一些例外情况,例如使用利用Microsoft机器学习的检测规则时。 在这种情况下,数据可能会复制到工作区地理位置之外的位置进行处理。 |
|
| 数据所有权 | 数据所有权(例如由子公司或附属公司拥有)的边界最好使用单独的工作区来划分。 | |
| 多个 Azure 租户 | Microsoft Sentinel仅支持在其自己的Microsoft Entra租户边界内,从Microsoft和Azure SaaS相关资源收集数据。 因此,每个Microsoft Entra租户都需要单独的工作区。 | |
| 精细数据访问控制 | 组织可能需要允许组织内外的不同组访问Microsoft Sentinel收集的数据。 例如:
|
使用 资源 Azure RBAC 或 表级别 Azure RBAC |
| 细粒度保留设置 | 过去,使用多个工作区是为不同数据类型设置不同保留期的唯一方式。 现在,得益于表级保留设置的引入,在很多情况下不再需要这样做。 | 使用表级保留设置或实现数据删除自动化 |
| 拆分计费 | 通过将工作区放在单独的订阅中,可以将其计费给不同的方。 | 使用情况报告和交叉收费 |
| 遗留体系结构 | 使用多个工作区可能源于历史设计,而该设计考虑到的限制或最佳做法已不再适用。 它也可能是可以修改的任意设计选择,以更好地适应Microsoft Sentinel。 示例包括:
|
重新构建工作区 |
确定要使用的租户和工作区数量时,请考虑大多数 Microsoft Sentinel 功能是通过使用单个工作区或 Microsoft Sentinel 实例来运行的,并且 Microsoft Sentinel 将收集工作区内的所有日志。
安全托管服务提供商 (MSSP)
对于 MSSP,上述要求中的许多甚至全部都适用,使得在多个租户间创建工作区成为最佳实践。 具体而言,我们建议为每个 Microsoft Entra 租户创建至少一个工作区,以支持内置的、服务对服务数据连接器,这些连接器仅在各自的 Microsoft Entra 租户中工作。
基于诊断设置的连接器不能连接到位于资源所在租户之外的工作区。 这适用于连接器,例如 Azure Firewall、Azure Storage、Azure Activity 或 Microsoft Entra ID。
Partner 数据连接器通常基于 API 或代理集成,因此不会附加到特定的 Microsoft Entra 租户。
使用 Azure Lighthouse 帮助管理不同租户中的多个 Microsoft Sentinel 实例。
Microsoft Sentinel多个工作区体系结构
如上述要求所暗示的那样,在某些情况下,单个 SOC 需要集中管理和监视多个为 Microsoft Sentinel 启用的 Log Analytics 工作区,这些工作区可能位于不同的 Microsoft Entra 租户中。
- MSSP Microsoft Sentinel 服务。
- 为多家附属公司提供服务的全球 SOC,每家附属公司具有自身的本地 SOC。
- 监视组织内多个 Microsoft Entra 租户的 SOC。
为应对这些情况,Microsoft Sentinel 提供了多工作区功能,支持集中监控、配置和管理,提供跨 SOC 涵盖内容的统一视图。 下图展示了此类用例的示例体系结构。
此模型提供的优势比完全集中式模型(将所有数据复制到单个工作区)更为明显:
- 灵活地将角色分配给全球和本地 SOC,或分配给 MSSP 及其客户。
- 在数据所有权、数据隐私和合规性方面面临的挑战更少。
- 网络延迟和费用最小化。
- 可轻松加入和排除新的子公司或客户。
后续步骤
在本文中,您了解到 Microsoft Sentinel 如何在多个工作区和租户之间进行拓展。